II. Chứng thực và kiểm sốt truy cập.
III. Các tài khoản tạo sẵn.
IV. Quản lý tài khoản người dùng và nhĩm cục bộ.
Dựa vào bài tập mơn Quản trị Windows Server 2003.
I. ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG VÀ TÀI KHOẢN NHĨM. I.1. Tài khoản người dùng.
Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thơng qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đĩ người dùng cĩ thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép.
I.1.1 Tài khoản người dùng cục bộ.
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy
tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với cơng cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư mục \Windows\system32\config.
Hình 3.1: lưu trữ thơng tin tài khoản người dùng cục bộ I.1.2 Tài khoản người dùng miền.
Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng cĩ thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với cơng cụ Active Directory Users and Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền khơng chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS.
Hình 3.2: lưu trữ thơng tin tài khoản người dùng miền. I.1.3 Yêu cầu về tài khoản người dùng.
- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập cĩ thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).
- Mỗi username là chuỗi duy nhất của mỗi người dùng cĩ nghĩa là tất cả tên của người dùng và nhĩm khơng được trùng nhau.
- Username khơng chứa các ký tự sau: " / \ [ ] : ; | = , + * ? < >
- Trong một username cĩ thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dịng lệnh.
I.2. Tài khoản nhĩm.
Tài khoản nhĩm (group account) là một đối tượng đại diện cho một nhĩm người nào đĩ, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhĩm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng cĩ thể đăng nhập vào mạng nhưng tài khoản nhĩm khơng được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhĩm được chia làm hai loại: nhĩm bảo mật (security group) và nhĩm phân phối (distribution group).
I.2.1 Nhĩm bảo mật.
Nhĩm bảo mật là loại nhĩm được dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission). Giống như các tài khoản người dùng, các nhĩm bảo mật đều được chỉ định các SID. Cĩ ba loại nhĩm bảo mật chính là: local, global và universal. Tuy nhiên nếu chúng ta khảo sát kỹ thì cĩ thể phân thành bốn loại như sau: local, domain local, global và universal. Local group (nhĩm cục bộ) là loại nhĩm cĩ trên các máy stand-alone Server, member server, Win2K Pro hay WinXP. Các nhĩm cục bộ này chỉ cĩ ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nĩ thơi.
Domain local group (nhĩm cục bộ miền) là loại nhĩm cục bộ đặc biệt vì chúng là local group nhưng nằm trên máy Domain Controller. Các máy Domain Controller cĩ một cơ sở dữ liệu
Active Directory chung và được sao chép đồng bộ với nhau do đĩ một local group trên một Domain Controller này thì cũng sẽ cĩ mặt trên các Domain Controller anh em của nĩ, như vậy local group này cĩ mặt trên miền nên được gọi với cái tên nhĩm cục bộ miền. Các nhĩm trong mục Built-in của
Active Directory là các domain local.
Global group (nhĩm tồn cục hay nhĩm tồn mạng) là loại nhĩm nằm trong Active Directory và được tạo trên các Domain Controller. Chúng dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền. Một nhĩm global cĩ thể đặt vào trong một nhĩm local của các server thành viên trong miền. Chú ý khi tạo nhiều nhĩm global thì cĩ thể làm tăng tải trọng cơng việc của Global Catalog.
Universal group (nhĩm phổ quát) là loại nhĩm cĩ chức năng giống như global group nhưng nĩ dùng để cấp quyền cho các đối tượng trên khắp các miền trong một rừng và giữa các miền cĩ thiết lập quan hệ tin cậy với nhau. Loại nhĩm này tiện lợi hơn hai nhĩm global group và local group vì chúng dễ dàng lồng các nhĩm vào nhau. Nhưng chú ý là loại nhĩm này chỉ cĩ thể dùng được khi hệ thống của bạn phải hoạt động ở chế độ Windows 2000 native functional level hoặc Windows Server 2003 functional level cĩ nghĩa là tất cả các máy Domain Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server.
I.2.2 Nhĩm phân phối.
Nhĩm phân phối là một loại nhĩm phi bảo mật, khơng cĩ SID và khơng xuất hiện trong các ACL (Access Control List). Loại nhĩm này khơng được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ. Chúng được dùng để phân phố thư (e-mail) hoặc các tin nhắn (message). Bạn sẽ gặp lại loại nhĩm này khi làm việc với phần mềm MS Exchange. I.2.3 Qui tắc gia nhập nhĩm.
- Tất cả các nhĩm Domain local, Global, Universal đều cĩ thể đặt vào trong nhĩm Machine Local.
- Tất cả các nhĩm Domain local, Global, Universal đều cĩ thể đặt vào trong chính loại nhĩm của mình.
- Nhĩm Global và Universal cĩ thể đặt vào trong nhĩm Domain local. - Nhĩm Global cĩ thể đặt vào trong nhĩm Universal.
Hình 3.3: khả năng gia nhập của các loại nhĩm. II. CHỨNG THỰC VÀ KIỂM SỐT TRUY CẬP. II.1. Các giao thức chứng thực.
Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn: đăng nhập tương tác và chứng thực mạng. Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê chuẩn yêu cầu truy cập của người dùng. Với tài khoản cục bộ, thơng tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ. Với tài khoản miền, thơng tin đăng nhập được chứng thực trên Active Directory và người dùng cĩ quyền truy cập các tài nguyên trên mạng. Như vậy với tài khoản người dùng miền ta cĩ thể chứng thực trên bất kỳ máy tính nào trong miền. Windows 2003 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là:
- Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống. - NT LAN Manager (NTLM): là giao thức chứng thực chính của Windows NT.
- Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ chế chứng thực chính được dùng khi truy cập vào máy phục vụ Web an tồn.
II.2. Số nhận diện bảo mật SID.
Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng (user account) để mơ tả các quyền hệ thống (rights) và quyền truy cập (permission) nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID (Security Identifier). SID là thành phần nhận dạng khơng trùng lặp, được hệ thống tạo ra đồng thời với tài khoản và dùng riêng cho hệ thống xử lý, người dùng khơng quan tâm đến các giá trị này. SID bao gồm phần SID vùng cộng thêm với một
RID của người dùng khơng trùng lặp. SID cĩ dạng chuẩn "S-1-5-21-D1-D2-D3-RID", khi đĩ tất cả các SID trong miền đều cĩ cùng giá trị D1, D2, D3, nhưng giá trị RID là khác nhau. Hai mục đích chính của việc hệ thống sử dụng SID là:
- Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cập khơng thay đổi.
- Khi xĩa một tài khoản thì SID của tài khoản đĩ khơng cịn giá trị nữa, nếu chúng ta cĩ tạo một tài khoản mới cùng tên với tài khoản vừa xĩa thì các quyền cũ cũng khơng sử dụng được bởi vì khi tạo tài khoản mới thì giá trị SID của tài khoản này là một giá trị mới.
II.3. Kiểm sốt hoạt động truy cập của đối tượng.
Active Directory là dịch vụ hoạt động dựa trên các đối tượng, cĩ nghĩa là người dùng, nhĩm, máy tính, các tài nguyên mạng đều được định nghĩa dưới dạng đối tượng và được kiểm sốt hoạt động truy cập dựa vào bộ mơ tả bảo mật ACE. Chức năng của bộ mơ tả bảo mật bao gồm: - Liệt kê người dùng và nhĩm nào được cấp quyền truy cập đối tượng.
- Định rõ quyền truy cập cho người dùng và nhĩm. - Theo dõi các sự kiện xảy ra trên đối tượng. - Định rõ quyền sở hữu của đối tượng.
Các thơng tin của một đối tượng Active Directory trong bộ mơ tả bảo mật được xem là mục kiểm sốt hoạt động truy cập ACE (Access Control Entry). Một ACL (Access Control List) chứa nhiều ACE, nĩ là danh sách tất cả người dùng và nhĩm cĩ quyền truy cập đến đối tượng. ACL cĩ đặc tính kế thừa, cĩ nghĩa là thành viên của một nhĩm thì được thừa hưởng các quyền truy cập đã cấp cho nhĩm này.
III. CÁC TÀI KHOẢN TẠO SẴN. III.1. Tài khoản người dùng tạo sẵn.
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt
Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống nên chúng ta khơng cĩ quyền xĩa đi nhưng vẫn cĩ quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container Users của cơng cụ Active Directory User and Computer. Sau đây là bảng mơ tả các tài khoản người dùng được tạo sẵn:
Tên tài khoản Mơ tả Administrator
Administrator là một tài khoản đặc biệt, cĩ tồn quyền trên máy tính hiện tại. Bạn cĩ thể đặt mật khẩu cho tài khoản này trong lúc cài đặt Windows Server 2003. Tài khoản này cĩ thể thi hành tất cả các tác vụ như tạo tài khoản người dùng, nhĩm, quản lý các tập tin hệ thống và cấu hình máy in...
Guest
Tài khoản Guest cho phép người dùng truy cập vào các máy tính nếu họ khơng cĩ một tài khoản và mật mã riêng. Mặc định là tài khoản này khơng được sử dụng, nếu được sử dụng thì thơng thường nĩ bị giới hạn về quyền, ví dụ như là chỉ được truy cập Internet hoặc in ấn. ILS_Anonymous_ User
Là tài khoản đặc biệt được dùng cho dịch vụ ILS. ILS hỗ trợ cho các ứng dụng điện thoại cĩ các đặc tính như: caller ID, video conferencing, conference calling, và faxing. Muốn sử dụng ILS thì dịch vụ IIS phải được cài đặt. IUSR_computer- name Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ IIS trên máy tính cĩ cài IIS. IWAM_computer- name Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các
ứng dụng trên máy cĩ cài IIS. Krbtgt
Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khĩa (Key Distribution Center)
TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services. III.2. Tài khoản nhĩm Domain Local tạo sẵn.
Nhưng chúng ta đã thấy trong cơng cụ Active Directory User and Computers, container Users chứa nhĩm universal, nhĩm domain local và nhĩm global là do hệ thống đã mặc định quy định trước. Nhưng một số nhĩm domain local đặc biệt được đặt trong container Built-in, các nhĩm này khơng được di chuyển sang các OU khác, đồng thời nĩ cũng được gán một số quyền cố định trước nhằm phục vụ cho cơng tác quản trị. Bạn cũng chú ý rằng là khơng cĩ quyền xĩa các nhĩm đặc biệt này.
Tên nhĩm Mơ tả Administrators
Nhĩm này mặc định được ấn định sẵn tất cả các quyền hạn cho nên thành viên của nhĩm này cĩ tồn quyền trên hệ thống mạng. Nhĩm Domain Admins và Enterprise Admins là thành viên mặc định của nhĩm Administrators.
Account Operators
Thành viên của nhĩm này cĩ thể thêm, xĩa, sửa được các tài khoản người dùng, tài khoản máy và tài khoản nhĩm. Tuy nhiên họ khơng cĩ quyền xĩa, sửa các nhĩm trong container Built-in và OU.
Domain Controllers
Nhĩm này chỉ cĩ trên các Domain Controller và mặc định khơng cĩ thành viên nào, thành viên của nhĩm cĩ thể đăng nhập cục bộ vào các Domain Controller nhưng khơng cĩ quyền quản trị các chính sách bảo mật.
Backup Operators
Thành viên của nhĩm này cĩ quyền lưu trữ dự phịng (Backup) và phục hồi (Retore) hệ thống tập tin. Trong trường hợp hệ thống tập tin là NTFS và họ khơng được gán quyền trên hệ thống tập tin thì thành viên của nhĩm này chỉ cĩ thể truy cập hệ thống tập tin thơng qua cơng cụ Backup. Nếu muốn truy cập trực tiếp thì họ phải được gán quyền.
Guests
Là nhĩm bị hạn chế quyền truy cập các tài nguyên trên mạng. Các thành viên nhĩm này là người dùng vãng lai khơng phải là thành viên của mạng. Mặc định các tài khoản Guest bị khĩa Print Operator
Thành viên của nhĩm này cĩ quyền tạo ra, quản lý và xĩa bỏ các đối tượng máy in dùng chung trong Active Directory.
Server Operators
Thành viên của nhĩm này cĩ thể quản trị các máy server trong miền như: cài đặt, quản lý máy in, tạo và quản lý thư mục dùng chung, backup dữ liệu, định dạng đĩa, thay đổi giờ...
Users
Mặc định mọi người dùng được tạo đều thuộc nhĩm này, nhĩm này cĩ quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế.
Replicator
Nhĩm này được dùng để hỗ trợ việc sao chép danh bạ trong Directory Services, nhĩm này khơng cĩ thành viên mặc định.
Incoming Forest Trust Builders
Thành viên nhĩm này cĩ thể tạo ra các quan hệ tin cậy hướng đến, một chiều vào các rừng. Nhĩm này khơng cĩ thành viên mặc định.
Network Configuration Operators
Thành viên nhĩm này cĩ quyền sửa đổi các thơng số TCP/IP trên các máy Domain Controller trong miền.
Pre-Windows 2000 Compatible Access
Nhĩm này cĩ quyền truy cập đến tất cả các tài khoản người dùng và tài khoản nhĩm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ.
Remote Desktop User
Thành viên nhĩm này cĩ thể đăng nhập từ xa vào các Domain Controller trong miền, nhĩm này khơng cĩ thành viên mặc định.
Performace Log Users
Thành viên nhĩm này cĩ quyền truy cập từ xa để ghi nhận lại những giá trị về hiệu năng của các máy Domain Controller, nhĩm này cũng khơng cĩ
thành viên mặc định. Performace Monitor Users
Thành viên nhĩm này cĩ khả năng giám sát từ xa các máy Domain Controller. Ngồi ra cịn một số nhĩm khác như DHCP Users, DHCP Administrators, DNS Administrators... các nhĩm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm hiểu cụ thể trong từng dịch vụ ở giáo trình "Dịch Vụ Mạng". Chú ý theo mặc định hai nhĩm Domain Computers và Domain Controllers
được dành riêng cho tài khoản máy tính, nhưng bạn vẫn cĩ thể đưa tài khoản người dùng vào hai nhĩm này.
III.3. Tài khoản nhĩm Global tạo sẵn. Tên nhĩm Mơ tả
Domain Admins
Thành viên của nhĩm này cĩ thể tồn quyền quản trị các máy tính trong miền vì mặc định khi gia nhập vào miền các member server và các máy trạm (Win2K Pro, WinXP) đã đưa nhĩm Domain Admins là thành viên của nhĩm cục bộ Administrators trên các máy này.
Domain Users
Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhĩm này. Mặc định